I ricercatori di Fortinet hanno rilevato una nuova campagna che prevede la scansione dei siti basati su WordPress con l’obiettivo di trovare la password di amministratore. L’attacco viene effettuato mediante la botnet GoTrim. I cybercriminali tentano di prendere il controllo dei siti ed eseguire varie attività, tra cui il furto di dati sensibili e la distribuzione di malware.
GoTrim: botnet per attacchi brute force
I primi attacchi sono stati rilevati a settembre e la campagna è ancora in corso. I gestori di GoTrim assegnano un elenco di siti “bersaglio” e di password da testare ad ogni bot. Il tentativo di accesso avviene tramite la tecnica “brute force“. Se viene individuata la password di amministratore, il sito è aggiunto alla botnet attraverso l’installazione ed esecuzione di uno script PHP. Le credenziali sono inviate al server C2C (command and control).
Successivamente lo script PHP (che ha scaricato il client della botnet sui computer) e il componente brute force vengono cancellati per non lasciare tracce. Il nuovo bot, ovvero il sito infettato, rimane in attesa di comandi. Lo scanner di GoTrim è scritto in linguaggio Go, noto per il supporto multi-piattaforma, ma la maggioranza degli attacchi sono stati effettuati contro server Linux.
I ricercatori di Fortinet hanno individuato oltre 30.000 domini nell’elenco dei siti target. Durante la scansione vengono esclusi i siti “managed” ospitati su WordPress.com, in quanto hanno misure di protezione più efficaci. I bersagli sono invece i siti WordPress “self-hosted”. Per evitare la rilevazione viene simulata una richiesta di Firefox. In alcuni casi, la botnet può anche risolvere i CAPTCHA.
Gli amministratori dei siti dovrebbero usare password robuste (difficili da indovinare) e attivare l’autenticazione in due fattori. Ovviamente è consigliata l’installazione delle ultime versione del CMS e dei plugin. Ciò riduce al minimo il rischio di furto dei dati personali degli utenti, come quelli delle carte di credito.
Ti potrebbe interessare
15 dic 2022